2018. május 25-től a személyes adatok védelméről szóló törvény 18/2018. Ez a törvény bevezeti a jogszabályainkba a GDPR-rendeletet. A GDPR rövidítést ebben a hónapban mindenhol gyakran használják, ezért rendszeresen új hozzászólásokat is hozunk Önnek ebben a témában, hogy tájékoztatást kapjon a jogszabályok minden változásáról és arról, hogy a GDPR mit hoz a gyakorlatban. A mai cikkben elsősorban a feldolgozási tevékenységek nyilvántartására fogunk összpontosítani.

gdpr

Kinek kell nyilvántartást vezetnie a feldolgozási tevékenységekről?

Minden üzemeltető vagy az üzemeltető képviselője (ha az üzemeltetőnek van ilyen) papíron vagy elektronikus formában nyilvántartást vezet a feldolgozási tevékenységről. Ezt a nyilvántartást nem kell sehova elküldeni, az üzemeltető csak magánál tartja. A Hatóság kérésére azonban az üzemeltető vagy az üzemeltető képviselője köteles a nyilvántartást a Hatóság rendelkezésére bocsátani.

A közvetítő és a közvetítő képviselője, ha erre felhatalmazást kap, nyilvántartást vezet az adatkezelő nevében végrehajtott feldolgozási műveletek kategóriáiról.

A feldolgozási tevékenységek nyilvántartása az információs rendszerekről szóló értesítések, az információs rendszerek speciális nyilvántartásba vételére irányuló kérelmek és az információs rendszerek regisztrációs lapjai helyébe lép. Törvényben foglalt jogi szabályozással szemben. 122/2013 Coll. a személyes adatok védelme tekintetében ez a kötelezettség nem az információs rendszerhez, hanem a feldolgozás céljához kapcsolódik.

Az üzemeltető vagy az üzemeltető képviselője felelős azért, hogy a nyilvántartásban szereplő összes információ naprakész legyen. Például, ha a felelős személy megváltozott, az üzemeltető köteles a változás napján frissíteni ezeket az adatokat a nyilvántartásban.

A tartalom prémium részében a következőket találja:

  • Amit a feldolgozási tevékenység nyilvántartásának tartalmaznia kell?
  • Akinek nem kell nyilvántartást vezetnie a feldolgozási tevékenységekről?
  • A feldolgozási tevékenységek nyilvántartási mintája
  • Utasítás a feldolgozási tevékenységek nyilvántartási mintájának kitöltéséhez

Amit a feldolgozási tevékenység nyilvántartásának tartalmaznia kell?

Az üzemeltetői nyilvántartásnak tartalmaznia kell:

  • Az üzemeltető, a közös üzemeltető, az üzemeltető képviselője, ha engedélyezték, és a felelős személy azonosító adatai és elérhetőségei,
  • a személyes adatok feldolgozásának célja,
  • az érintettek kategóriáinak és a személyes adatok kategóriáinak leírása,
  • a kedvezményezettek kategóriái, ideértve a harmadik országbeli vagy nemzetközi szervezet kedvezményezettjeit is,
  • harmadik ország vagy nemzetközi szervezet kijelölése, ha az adatkezelő személyes adatokat kíván átadni egy harmadik országnak vagy nemzetközi szervezetnek, valamint a megfelelő biztosítékokról szóló dokumentációt, ha az adatkezelő az 51. § (1) bekezdésének megfelelően továbbítani kívánja. 1. és 2.,
  • becsült határidők a személyes adatok különböző kategóriáinak törlésére,
  • a műszaki és szervezeti biztonsági intézkedések általános leírása a 39. §. 1.

A bróker nyilvántartásának tartalmaznia kell:

  • A közvetítő és az üzemeltető, akinek a nevében a közvetítő jár el, az üzemeltető vagy a közvetítő képviselője, ha erre felhatalmazás, és a felelős személy azonosító adatai és elérhetőségei,
  • az egyes adatkezelők nevében végzett személyes adatok feldolgozásának kategóriái,
  • harmadik ország vagy nemzetközi szervezet kijelölése, ha az adatkezelő személyes adatokat kíván átadni harmadik országnak vagy nemzetközi szervezetnek, valamint a megfelelő biztosítékokról szóló dokumentáció, ha az adatkezelő az 51. § (1) bekezdésének megfelelően továbbítani kívánja. 1. és 2.,
  • a műszaki és szervezeti biztonsági intézkedések általános leírása a 39. §. 1.

Akinek nem kell nyilvántartást vezetnie a feldolgozási tevékenységekről?

Ha a vállalkozás vagy szervezet kevesebb mint 250 embert foglalkoztat és

  • hacsak nem valószínű, hogy az általa végzett személyes adatok feldolgozása az érintett jogainak és szabadságainak veszélyeztetéséhez vezet, és
  • a személyes adatok feldolgozása alkalmi és
  • a feldolgozás nem tartalmazza a személyes adatok speciális kategóriáit a 16. § Törvény 1., vagy Művészet. 9. bekezdés A rendelet 1. cikke (pl. Biometrikus adatok, egészségügyi adatok stb.), Vagy nem tartalmazza a törvény 17. §-a alapján bűncselekmény vagy vétség miatt elkövetett bűnösség beismerésével kapcsolatos személyes adatokat, vagy Művészet. A rendelet 10. cikke, tehát

az üzemeltető vagy az üzemeltető képviselője nem köteles nyilvántartást vezetni a mentesség hatálya alá tartozó konkrét feldolgozási tevékenységről.

Figyelje meg a Podnikam.sk oldalt

Az adatkezelőnek vagy az üzemeltető képviselőjének nem kell nyilvántartást vezetnie csak azokról a feldolgozási műveletekről, amelyekre maga a mentesség vonatkozik. Ha tehát 10 feldolgozási művelete van, és kettő mentesül, a másik 8-nak nyilvántartást kell vezetnie a feldolgozási tevékenységekről.

A feldolgozási tevékenységek nyilvántartási mintája

A feldolgozási tevékenységekről itt letöltheti a minta nyilvántartását: A feldolgozási tevékenységek nyilvántartási mintája

Ez a sablon tartalmazza a törvény által előírt összes kötelező követelményt, ill. Rendeletet, de nem kötelező. Az üzemeltetőnek vagy az üzemeltető képviselőjének lehetősége van önmagához igazítani, de tartalmaznia kell minden jogi előírást.

Utasítás a feldolgozási tevékenységek nyilvántartási mintájának kitöltéséhez

  1. Az üzemeltető vagy az üzemeltető képviselője felsorolja az azonosító adatokat és elérhetőségeket - cégnév/vezetéknév, azonosító szám, székhely/állandó lakóhely címe, telefonos elérhetőség, e-mail cím
  2. A delegált vagy felelős személy kijelölése esetén meg kell adni a közös üzemeltető, az üzemeltető képviselője és a felelős személy adatait.
  3. A felelős személy, aki lehet természetes vagy jogi személy, fel kell tüntetni az üzemeltető vagy az üzemeltető képviselője rendelkezésére álló összes azonosító és elérhetőségi adatot. Olyan felelős személy esetén, aki egyben az üzemeltető alkalmazottja/az üzemeltető képviselője, nem szükséges kitölteni a címet. Külső felelős személy esetén meg kell jelölni a székhelyének vagy az állandó lakóhelyének a címét.
  4. Személyes adatok kezelése céljából olyan meghatározott vagy meghatározott cél, amely alapján az adatkezelő a tevékenységével kapcsolatos személyes adatokat dolgozza fel. Ezt a célt az üzemeltetőnek előre, egyértelműen előre meg kell határoznia, és azt indokolni kell. Például. a munkavállaló személyes adatainak feldolgozása a munkáltató munkaviszonnyal kapcsolatos kötelezettségeinek teljesítése céljából. A feldolgozás minden célját külön kell meghatározni a nyilvántartásban, és minden kötelező követelményt ki kell tölteni mindegyikre vonatkozóan. Hány célja van az operátornak, hány "sort" kell tartalmaznia a rekordnak.
  5. Az érintett személyek kategóriáinak leírása azon személyek köre, akiknek személyes adatait feldolgozni fogjuk. Az alkalmazottak esetében ilyen kategória lesz a munkavállaló, a munkavállaló házastársa, a munkavállaló gyermekei stb.
  6. Nál nél személyes adatok kategóriája a következő lehetőségek állnak rendelkezésre: rendes személyes adatok, a személyes adatok és/vagy a bűncselekmény vagy vétség vétségének elismerésével kapcsolatos személyes adatok különleges kategóriája. Az adatkezelő/üzemeltető képviselőjének meg kell jelölnie a kategóriát, de nem kizárt, hogy megadja az általa kezelt összes személyes adat listáját.
  7. Egy másik kötelező követelmény az a kedvezményezettek kategóriája. Címzett: bárki, akinek személyes adatokat adnak át, függetlenül attól, hogy harmadik fél-e. Ha az üzemeltető képes azonosítani a kedvezményezettet, akkor be kell vezetnie a nyilvántartásba egy meghatározott kedvezményezettet, például társadalombiztosítási társaságot, munkavállaló esetén egészségbiztosítót és az érte járulékfizetést. Ha az operátor nem tudja azonosítani a címzettet, akkor a címzettek kategóriáját, körét, pl. bíróságok, hatóságok stb. A kedvezményezett egyben az üzemeltető közvetítője is.
  8. Ha az üzemeltető szándékában áll személyes adatok továbbítása harmadik országokba vagy a nemzetközi szervezetek kötelesek felsorolni ezt a jogi követelményt tartalmazó rovatot, amelyre az adatokat továbbítják. Az ilyen továbbítás biztosításához megfelelő biztosítékok dokumentációjának rendelkezésre kell állnia.
  9. A személyes adatok minden kategóriájához meg kell adni a kifejezés, ami után személyeseknek kell lenniük adatok törölve. Ezt az időszakot külön jogszabály szabhatja meg, pl. Törvény a levéltárakról és nyilvántartásokról, vagy az üzemeltető maga határozza meg a személyes adatok megőrzésének minimalizálása elvének figyelembevételével.
  10. A feldolgozási tevékenységek nyilvántartásában meg kell határozni, hogy mely műszaki és szervezeti biztonsági intézkedéseket tett az üzemeltető, annak biztosítása, hogy a személyes adatok feldolgozása biztonságos, védett legyen, és mindent megtegyen a visszaélések megakadályozása érdekében. Szükség van a törvény 39. §-ára, amely különösen a következő intézkedéseket írja elő:
    • a személyes adatok álnevesítése és titkosítása,
    • a személyes adatfeldolgozó rendszerek folyamatos titkosságának, integritásának, elérhetőségének és rugalmasságának biztosítása,
    • a személyes adatok rendelkezésre állásának és az azokhoz való hozzáférés helyreállításának folyamata fizikai vagy műszaki esemény esetén,
    • a személyes adatok feldolgozásának biztonságát biztosító technikai és szervezési intézkedések hatékonyságának rendszeres tesztelése, értékelése és értékelése.

Technikai biztonsági intézkedésekről lehet szó a számítógép víruskeresővel történő védelme, jelszóvédelem mellett, papíros dokumentum esetén ez lehet zárható szekrény, széf, kóddal ellátott archívum. Szervezeti intézkedések esetén az emberi tényező biztosítja az érintett személyek személyes adatainak feldolgozásának biztonságát, pl. kijelölt felelős személy, tájékoztatott meghatalmazott személy. Az elkészített személyes adatok biztonsági dokumentációja esetén lehetőség van hivatkozást adni egy ilyen dokumentumra.

16. Az üzemeltető vagy az üzemeltető képviselőjének feldolgozási tevékenységének nyilvántartásába be kell illeszteni a „feldolgozási tevékenység jogalapja” opcionális követelményt, amelyet a törvény 13. §-a szabályoz. Ez nem kötelező része a feldolgozási tevékenységek nyilvántartásának, de annak a ténynek köszönhető, hogy a jogalap kapcsolódik a személyes adatok kezelésének céljához, és ellenőrzés esetén az adatkezelő/az adatkezelő képviselője továbbra is köteles közölni a jogi feldolgozás alapja.